FIN7 黑客创建自动攻击平台来破坏 Exchange 服务器-VPS资讯_海外云服务器资讯_海外服务器资讯

臭名昭著的 FIN7 黑客组织使用一个自动攻击系统，该系统利用 Microsoft Exchange 和 SQL 注入漏洞来破坏公司网络、窃取数据并根据财务规模选择勒索软件攻击的目标。

该系统是由 Prodaft 的威胁情报团队发现的，该团队多年来一直密切关注 FIN7 的操作。

在发布前与news.zzqidc.com分享的一份报告中，Prodaft 揭示了有关 FIN7 内部层次结构、与各种勒索软件项目的从属关系以及用于从受感染网络窃取文件的新 SSH 后门系统的详细信息。

FIN7 是一个说俄语且出于经济动机的威胁行为者，至少从 2012 年开始活跃。

他们与针对 ATM 的攻击、将携带恶意软件的 USB 驱动器隐藏在泰迪熊中、设立虚假的网络安全公司雇佣渗透测试人员进行勒索软件攻击等有关。

自动攻击 Microsoft Exchange

Prodaft 发现的自动攻击系统称为“Checkmarks”，它是针对多个 Microsoft Exchange 远程代码执行和特权提升漏洞（如 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207）的扫描器。

从 2021 年 6 月开始，FIN7 使用 Checkmarks 自动发现公司网络内易受攻击的端点，并利用它们通过 PowerShell 投放 web shell 来获取访问权限。

FIN7 使用各种漏洞利用来访问目标网络，包括他们自己的自定义代码和公开可用的 PoC。

除了 MS Exchange 漏洞外，Checkmarks 攻击平台还具有 SQL 注入模块，使用 SQLMap 扫描目标网站上的潜在可利用漏洞。

在初始攻击阶段之后，Checkmarks 会自动执行后期开发步骤，例如从 Active Directory 中提取电子邮件和收集 Exchange 服务器信息。

新的受害者会自动添加到中央面板，FIN7 操作员可以在其中查看有关受感染端点的更多详细信息。

接下来，FIN7 的内部“营销”团队审查新条目并在 Checkmarks 平台上添加评论，列出受害者的当前收入、员工人数、域名、总部详细信息以及其他信息，以帮助渗透测试者确定该公司是否值得花时间和精力勒索软件攻击。

Prodaft分享的报告解释说：“如果一家公司被认为具有足够的市场规模，渗透测试人员会就如何使用服务器连接、攻击可以持续多长时间以及可以走多远向管理员发表评论”与news.zzqidc.com。

评估公司规模和财务状况的尽职调查值得注意，FIN7 的营销团队从不同来源收集信息，包括 Owler、Crunchbase、DNB、Zoominfo、Mustat 和 Similarweb。

Prodaft 表示，在扫描超过 180 万个目标后，FIN7 的 Checkmarks 平台已被用于渗透 8,147 家公司，主要位于美国 (16.7%)。

2022 年 11 月，Sentinel Labs 发现了将 FIN7 组织与 Black Basta 勒索软件团伙联系起来的证据，而早些时候，即 2022 年 4 月， Mandiant 将俄罗斯黑客与 Darkside 行动联系起来。

Prodaft 的调查发现了 DarkSide 连接的进一步证据，因为他们发现了似乎是来自勒索软件操作的勒索票据和加密文件。

此外，研究人员从检索到的 Jabber 日志中发现了与多个勒索软件团伙（包括 Darkside、REvil 和 LockBit）通信的大量证据。

这些日志中一个值得注意的细节是，FIN7 喜欢在勒索软件受害者的网络上维护一个 SSH 后门，即使在支付赎金后也是如此，目的是向其他团体出售访问权，或者在未来自己尝试新的攻击。

这个 SSH 后门是 FIN7 武器库的最新成员，允许他们通过 Onion 域使用反向 SSH 连接 (SFTP) 从被破坏的设备中窃取文件。

FIN7 的 Checkmarks 平台展示了威胁行为者如何将公共漏洞工业化以执行具有全球影响的大规模攻击。

此外，调查表明，FIN7 不是专门针对有价值的公司，而是针对每个人，并在第二阶段评估他们的价值。

Prodaft 在其攻击中使用的基于 SSH 的后门和其他恶意软件的报告中提供了妥协指标 (IOC)。强烈建议所有管理员查看报告以了解 FIN7 如何针对他们的网络。